:
* http://cr.yp.to/djbdns/blurb/security.html
De l'importance de séparer le cache des serveurs autoritaires :
* http://cr.yp.to/djbdns/separation.ht... eur interroge d'autres serveurs DNS externes lors de demandes provenant du net), mais cela n'empèchera... r les informations se trouvant déjà dans le cache de Bind...
Voici une autre solution un petit peu
======
===== Build à la mano =====
C'est le job de l'excellent Ansible, mais il faut l'utiliser très... ll.
* Supprimer l'accès ''ssh'' à ''root''.
<code bash>
# nano /etc/ssh/sshd_config
# Port 22
Port ... ation no
#X11Forwarding yes
X11Forwarding no
</code>
Si un autre user sudoer existe, sinon attendre ... ur le nouveau port depuis un second terminal.
<code bash>
systemctl restart sshd.service
</code>
====
====== Les erreurs de l'administrateur système ======
Pour moi, il existe 4 administrateurs différents avec chacun un domaine particulier de compétences.
* L'administrateur de la politique de sécurité, c'est le RSSI, il est responsable de la définition de la politique générale
.org
Si l'on veut passer des options à la commande ssh on ajoute des guillemets '"':
<code bash>
rsync -avz -e "ssh -i ~/.ssh/une_cle_privee" remote_... :/home/remote_folder/ /home/rsync/from_remote
</code>
À noter la présence ou l'absence du slash '/' à... tenu (avec le /).
Quelques options pour la commande rsync:
<code>
-v, --verbose increase verbosit
* [[http://htop.sourceforge.net/|htop]] permet de monitorer l’activité de son serveur comme top, mais avec une interface plus ergonomqie et amélioré. I... .nl/Tools/atop/index.html|atop]] permet également de monitorer l’activité de se serveur linux. atop permet de monitorer les processus, l’activité des disq
donc mieux créer un utilisateur virtuel au niveau de ncftpd, utilisant le même utilisateur système que... 'accès est limité à un répertoire précis...
Regarde dans la doc de ncftpd pour les utilisateurs virtuels ou fais une recherche google sur "ncftpd virtual... er quantité d'informations.
===== NCFTP =====
<code>
#/bin/sh
LOGIN="nsXXXXXX.ovh.net"
PASS="XXXXXXX"
====== Restic ======
outil de sauvegarde.
https://restic.net/
Docs:
* https://restic.readthedocs.io
* https://forum.restic.ne... un peu obsolètes on peut mettre à jour le binaire de restic avec ''sudo restic self-update''.
Sur les dérivés de debian il est préférable de désactiver la mise à
====== Sauvegarde - Backup ======
Voir aussi [[/informatique/files_synchronization|/informatique/file... ization]]
Pour sauvegarder tous les 1/4 d'heure de très nombreux fichiers (45Go en 540000 fichiers)
* rclone est tros lent à la sauvegarde
* restic est super rapide par contre
* utilise plusieurs Go de cache
* les commandes stats,
debian-12-bookworm/
==== Exemple ====
les stats de livraison d'emails avec Postfix sur handipause.fr... ce ''/etc/systemd/system/mail-stats.service''
<code>
#
# Génère des stats de delivery pour Postfix
#
# Doc:
# Timer: https://blog.stephane-robert.info/do... after the service is stopped.
#ExecStopPost=
</code>
Le timer ''/etc/systemd/system/mail-stats.timer
====== RSyslog ======
Pas facile de trouver des tutos à jour, et on s'y perd avec des syntaxes varian... =="foo:"''
==== protocol RELP ====
=== Server side ===
* module [[https://rsyslog.readthedocs.io/... le/configuration/modules/omfile.html|omfile]]
<code>
# sudo apt install rsyslog-relp
module(load="imr... nTXEnd="off"
asyncWriting="on")
}
</code>
=== Client side ===
* module [[https://rsysl
il2ban
===== Tips & Tricks =====
Voir le status de toutes les ''jails''
<code bash>
sudo fail2ban-client status | sed -n 's/,//g;s/.*Jail list://p' | xargs -n1 sudo fail2ban-client status
</code>
===== Filters =====
==== Wordpress ====
Voir... thub.com/fail2ban/fail2ban/wiki/Best-practice
<code>
# Filtre pour Wordpress via nginx combined acces
https://zlib.net/pigz
S'utilise en lieu et place de ''gzip'', par exemple pour une archive on peut ut... ser et décompresser avec ''tar xf'' comme d'habitude.
It is pronounced **''pig-zee''**, it is not pro... ig.
Comparaison avec un dossier contenant 17 Go de fichiers (//des petits <=1Ko et des gros >2Go//):
<code bash>
# gzip : 1 seul core utilisé
time (tar -c s
Les machines sont puissantes, le réseau est rapide, et pourtant à partir d'un certain nombre de connexions TCP des erreurs apparaissent, comme ''too man... ''/proc/sys/net/ipv4/''
Sur les performances:
<code bash>
$ cat /etc/security/limits.d/nofile.conf
#... # debian 10.4 = 3
#net.ipv4.tcp_retries1 = 3
</code>
{{https://upload.wikimedia.org/wikipedia/commo
